Een blik in de duistere wereld van cyberspionage en andere bedreigingen waarmee managed service providers en hun klanten geconfronteerd worden.
3 mei 2023 – Vanaf Q4 2022 zag de ESET-telemetrie de start van een nieuwe campagne door MuddyWater, een cyberspionagegroep gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en actief sinds 2017. De groep richt zich (voornamelijk) op slachtoffers in het Midden-Oosten, Azië, Afrika, Europa en Noord-Amerika: telecombedrijven, overheidsorganisaties en de verticale energiesector (olie & gas).
Wat in de campagne van oktober 2022 opvalt, is dat vier slachtoffers, drie in Egypte en één in Saoedi-Arabië, gecompromitteerd werden via SimpleHelp, een legitiem tool voor remote access (RAT) en software voor ondersteuning op afstand gebruikt door MSP’s, wat het belang van zichtbaarheid voor MSP’s aangeeft. Bij het implementeren van honderden of zelfs duizenden soorten software hebben ze geen andere keuze dan automatisering toe te passen en ervoor te zorgen dat SOC-teams, klantgerichte beveiligingsbeheerders en detectie- en responsprocessen, volwassen zijn en zich voortdurend aanpassen.
Goede tools voor slechteriken?
ESET Research ontdekte (discovered) dat als SimpleHelp aanwezig is op de schijf van een slachtoffer, MuddyWater-operators Ligolo, een omgekeerde tunnel, gebruikten om het systeem van het slachtoffer te verbinden met hun Command and Control (C&C)-servers. Hoe en wanneer MuddyWater in het bezit kwam van de tooling van de MSP of de omgeving van de MSP is binnengedrongen, is onbekend.
Terwijl deze campagne doorgaat, heeft MuddyWater’s gebruik van SimpleHelp tot nu toe met succes de MuddyWater C&C-servers versluierd – de commando’s om Ligolo te starten vanuit SimpleHelp zijn nog niet vastgelegd. Men kan toch al opmerken dat MuddyWater-operatoren ook MiniDump (een lsass.exe-dumper), CredNinja en een nieuwe versie van de groep’s wachtwoorddumper MKL64 van gebruiken.
Eind oktober 2022 ontdekte ESET dat MuddyWater een aangepaste reverse tunneling-tool implementeerde bij hetzelfde slachtoffer in Saoedi-Arabië. Hoewel het doel niet meteen duidelijk was, gaat de analyse door en kan de vooruitgang worden gevolgd in de privé APT-rapporten (private APT Reports) van ESET.
Naast het gebruik van MiniDump om inloggegevens te verkrijgen van LSASS-dumps (Local Security Authority Subsystem Service) en het gebruik van de CredNinja-penetratietesttool, beoefent MuddyWater andere tactieken zoals het gebruik van populaire MSP tools van ConnectWise om toegang te krijgen tot de systemen van slachtoffers.
ESET volgde ook andere technieken die verband houden met de groep, zoals steganografie, die in digitale media gegevens versluiert, zoals afbeeldingen, audiotracks, videoclips of tekstbestanden. Een rapport uit 2018 van ClearSky Cyber Security, MuddyWater Operations in Lebanon and Oman, documenteert ook dit gebruik en deelt hashes voor malware die verborgen is in verschillende nep-cv’s – MyCV.doc. ESET detecteert de verborgen malware als VBA/TrojanDownloader.Agent.
Hoewel vier jaar verstreken zijn sinds de publicatie van het ClearSky-rapport, en het aantal ESET-detecties van de zevende plaats (met 3,4%) in het T3 2021 Threat Report daalde naar zijn meest recente positie op de “laatste” plaats (met 1,8%) in het T3 Bedreigingsrapport 2022, bleef de VBA/TrojanDownloader.Agent in de top 10 van de malwaredetecties.
Aanvallen met VBA-macro’s (VBA macros attacks) gebruiken kwaadaardig gemaakte Microsoft Office-bestanden en proberen gebruikers (inclusief MSP-medewerkers en klanten) te manipuleren om de uitvoering van macro’s mogelijk te maken. Indien ingeschakeld, downloadt en voert de kwaadaardige macro in bijlage meestal aanvullende malware uit. Deze kwaadaardige documenten worden verzonden als e-mailbijlagen, vermomd als belangrijke informatie voor de ontvanger.
Oproep tot actie voor MSP’s en bedrijven
MSP-beheerders, die toonaangevende productiviteitstools zoals Microsoft Word/Office 365/Outlook configureren, controleren de dreigingsvectoren die de door hen beheerde netwerken bedreigen. Tegelijkertijd hebben SOC-teamleden al dan niet hun eigen, goed geconfigureerde EDR/XDR-tools om te identificeren of APT’s zoals MuddyWater of criminele entiteiten technieken zoals steganografie proberen te gebruiken om toegang te krijgen tot hun eigen systemen of die van hun klanten.
MSP’s hebben zowel vertrouwde netwerkconnectiviteit als geprivilegieerde toegang (trusted network connectivity and privileged access) tot klantsystemen nodig om diensten te leveren. Dit betekent dat ze risico’s en verantwoordelijkheden opstapelen voor een groot aantal klanten. Klanten kunnen ook risico’s erven van de activiteit en omgeving van hun MSP. Dit toonde aan dat XDR een cruciaal hulpmiddel is bij het bieden van inzicht in zowel hun eigen omgevingen als endpoints, apparaten en netwerken van klanten om ervoor te zorgen dat opkomende bedreigingen, risicovol gedrag van werknemers en ongewenste apps hun winst of reputatie niet in gevaar brengen. De mature verwerking van XDR-tools door MSP’s geeft ook hun actieve rol aan bij het aanbieden van een specifieke beveiligingslaag voor de bevoorrechte toegang die hen door klanten wordt gegeven.
Wanneer ervaren MSP’s XDR beheren, bevinden ze zich in een veel betere positie om een verscheidenheid aan bedreigingen het hoofd te bieden, waaronder APT-groepen die mogelijk proberen de positie van hun klanten in zowel fysieke als digitale toeleveringsketens te benutten. Als verdedigers dragen SOC-teams en MSP-beheerders een dubbele verantwoordelijkheid, door zichtbaarheid zowel intern als in de netwerken van klanten te behouden. Klanten moeten zich zorgen maken over de beveiligingspositie van hun MSP’s en de bedreigingen begrijpen waarmee deze geconfronteerd worden, anders leidt een gecompromitteerde provider tot een gecompromitteerde gebruiker.
VERWANTE ARTIKELS:
Choosing your MSP: What the Kaseya incident tells us about third‑party cyber‑risk
Criminal hacking hits Managed Service Providers: Reasons and responses
